2026 年 4 月 18 日,KelpDAO 遭遇了 DeFi 领域年度规模最大的安全攻击,攻击者通过其 LayerZero 驱动的跨链桥窃取约 116,500 个 rsETH,总价值约 2.92 亿美元。本次攻击的本质并非传统智能合约漏洞,而是跨链信任模型失效叠加 DeFi 可组合性放大所形成的系统性安全事件。
攻击的核心技术路径指向 LayerZero 跨链验证架构的配置缺陷。KelpDAO 的 rsETH 桥采用了 LayerZero OFT(Omnichain Fungible Token)方案,其安全机制依赖于 DVN(去中心化验证网络)。然而,KelpDAO 运行的是 1-of-1 单验证节点配置,意味着仅需一个验证节点签名即可确认跨链消息为真实。攻击者通过攻击手段伪造了一次跨链消息,系统便自动释放了约 2.92 亿美元资产。该攻击的执行极为高效:从调用核心函数到资金被全部转移,整个过程仅持续了 46 分钟。
攻击者在完成盗窃后,将所得 rsETH 作为抵押品存入 Aave V3 及其他借贷协议,借出大量 ETH,在 Aave 账簿上制造了约 1.96 亿美元的坏账。Aave 总锁仓量(TVL)从约 264 亿美元急剧缩水至 186 亿美元,AAVE 代币单日跌幅约 20%。攻击者随后将约 30,766 枚 ETH 转移至 Arbitrum One 链上持有,这一资金动向成为后续安全委员会介入的直接触发点。
安全委员会的行动依据是什么
Arbitrum 安全委员会是由 Arbitrum DAO 选举产生的 12 人机构,其成员通过定期选举轮换,每届任期 12 个月,6 人一组交错选举。安全委员会的核心职能是在紧急情况下通过 9-of-12 多签钱包快速采取行动,以保障 Arbitrum 生态的安全与完整。
在此次事件中,安全委员会行动的前提条件——攻击者身份确认——得到了执法部门的协助。Arbitrum 在公告中明确指出,安全委员会“基于执法部门关于攻击者身份的信息”采取了行动。从治理程序的角度看,此次行动符合 Arbitrum 渐进式去中心化文档中关于“灾难性紧急情况”的定义,安全委员会由此获得了启动干预的法定依据。
需要指出的是,安全委员会的权力并非无限。根据 Arbitrum DAO 章程,安全委员会仅能在紧急情况下绕过标准治理流程执行操作,其多签门限为 12 人中至少 9 人同意。此次行动中,共有 9 名成员投票支持资金冻结,满足了多签授权的最低要求。安全委员会成员 Griff Green 在 X 平台上表示,这一决定“并非轻率做出,而是经历了无数小时的技术、实践、伦理和政治层面的辩论”。
链上冻结的技术路径如何实现
Dragonfly 管理合伙人 Haseeb Qureshi 对这一操作的技术本质进行了详细解析。冻结交易所使用的交易类型为 ArbitrumUnsignedTxType(EIP-2718 type 0x65/101),属于系统级交易,无法由普通外部账户(EOA)通过私钥签署生成,只能由安全委员会通过 ArbOS 注入执行。
这意味着本次操作的核心机制与区块链的常规交易模型存在根本差异。普通交易由用户私钥签署,其合法性来源于用户授权;而此次系统级交易的合法性来源于链的共识规则本身,而非任何单个用户的签名。安全委员会通过 9-of-12 多签授权触发了 ArbOS 的底层状态修改能力,直接变更了特定地址的账户余额——将 30,766 枚 ETH 从攻击者地址转移至中间冻结钱包,而该地址内的 ETH 由链本身的执行逻辑强制转移。
值得注意的是,这一操作并非传统意义上的“链回滚”。它没有撤销任何已确认的区块,也没有重写交易历史。所有攻击发生期间的链上记录完好保留,区块链账本的不可逆性并未被破坏。从状态机的视角看,这本质上是一次“状态级别”的资产追回:攻击者的私钥仍然可以对交易进行签名,但其地址下的核心资产已被链的规则强制转移至治理控制的钱包。这一技术设计在保留区块链账本完整性的前提下,实现了对特定资产的定向干预。
冻结操作本身具有极高的精度。Arbitrum 方面强调,整个转移过程不影响“任何其他链上状态或 Arbitrum 用户”,也不影响任何 Arbitrum 应用程序的正常运作。截至美国东部时间 4 月 20 日晚 11:26,资金已成功转移至中间冻结钱包,攻击者原始地址不再具备对这批资金的访问权限。任何后续的资金转移只能由 Arbitrum 治理机构通过与相关方协调后执行。
治理干预与去中心化原则如何权衡
此次冻结行动在高效拦截部分被盗资金的同时,也引发了关于去中心化网络治理边界的广泛讨论。一个 Layer-2 安全委员会在执法机构协助下主动介入并冻结特定链上地址的资产,这一行为在 DeFi 历史上形成了重要先例。
争议的核心在于:区块链的不可篡改性和抗审查性究竟是绝对原则,还是可以在特定条件下做出妥协。支持者认为,在用户资产遭受大规模损失的情况下,具备紧急响应机制的治理干预是保障生态系统安全的必要工具。安全委员会作为由社区选举产生的机构,其行动本质上代表了社区在极端情况下的集体意志。反对者则指出,任何形式的链上资产冻结都与区块链的底层哲学存在张力。在 X 平台上,多名用户对 Arbitrum 的行动表示批评,质疑在安全委员会一纸决定即可冻结资金的前提下,网络的去中心化程度究竟还剩多少。
从制度设计的角度看,Arbitrum 安全委员会的权力边界已被明确定义。根据 Arbitrum 渐进式去中心化文档,安全委员会只能在“灾难性紧急情况”下行使此类权力,且必须满足 9-of-12 的多签门槛。此外,安全委员会成员由 DAO 选举产生,并可通过 DAO 投票或成员间的罢免机制被移除,形成了一定的制衡结构。然而,此次事件也暴露了一个尚未解决的问题:在缺乏链上自动化触发机制的情况下,“灾难性紧急情况”的判断标准仍依赖于安全委员会的主观裁量,这一权力边界的模糊性本身即构成潜在的治理风险。
跨链基础设施暴露了哪些系统性风险
KelpDAO 安全事件从根源上揭示了跨链基础设施的结构性脆弱性。过去几年,跨链桥被盗资金累计超过 28 亿美元,占 DeFi 总被盗金额的近一半。本次事件再次印证了这一趋势:攻击的核心漏洞并非智能合约代码本身的缺陷,而是跨链验证机制的信任模型设计存在单点失效。
LayerZero 在其事件调查中指出,KelpDAO 使用的 1-of-1 DVN 单验证节点配置违背了行业最佳实践,而 LayerZero 曾多次建议采用多验证节点配置以实现冗余,但这些建议未被采纳。这一配置缺陷使得攻击者仅需攻破一个验证节点即可触发整个系统的资产释放。Ripple CTO David Schwartz 在 X 平台上的评论概括了这一问题的本质:“攻击远比预期的更复杂,它利用了 KelpDAO 的配置疏忽,瞄准了 LayerZero 的基础设施”。
跨链基础设施的信任模型本质上是对区块链去中心化信任假设的某种“妥协”。在多链生态中,资产在不同链之间的流动必须依赖某个中间层来验证和传递消息,这一中间层无论是采用多签、DVN 还是其他验证机制,都难以完全消除对特定验证者群体的依赖。KelpDAO 事件表明,当这种依赖被压缩至单点时,整个跨链桥就变成了一个极易被攻破的薄弱环节。
行业将如何重塑安全与治理框架
本次事件为 DeFi 行业提供了多个层面的深刻启示。
在跨链安全层面,单验证节点配置应被视为不可接受的安全实践。LayerZero 已将受影响的基础设施节点下线并恢复 DVN 运营,但更广泛的问题是:还有多少协议在使用类似的单点配置运行?行业需要建立更为严格的跨链安全审计标准和配置规范,从制度层面消除单点信任风险。
在治理机制层面,安全委员会紧急处置权与社区民主治理之间的平衡需要进一步细化。目前,安全委员会在“灾难性紧急情况”下的行动边界仍依赖于主观判断,缺乏明确的链上触发条件和事后审查机制。一个可能的演进方向是建立多层次的紧急响应分级体系,根据事件的严重程度匹配不同的授权层级,并在事后引入独立的审查委员会对紧急行动的合理性进行评估。
在损失分配层面,KelpDAO 事件的损失总额约为 2.92 亿美元,其中 Arbitrum 安全委员会成功冻结约 7,100 万美元,回收比例接近四分之一。剩余损失的处置方案——包括 Aave 坏账的消化方式、各协议间的损失分摊机制,以及是否启动保险赔付——仍在持续博弈之中。这一案例可能推动 DeFi 协议在设计之初就将安全事件应急响应和损失分摊机制纳入架构考量,而非在事件发生后再寻求临时解决方案。
总结
KelpDAO 安全事件从跨链桥漏洞爆发到安全委员会冻结 30,766 枚 ETH,完整呈现了 DeFi 生态在面对大规模攻击时的应急响应链路。事件的核心矛盾——跨链基础设施的信任模型缺陷与去中心化治理的干预边界——将成为行业下一阶段制度建设和安全升级的重要参照。30,766 枚 ETH 的成功冻结是资金追回的阶段性胜利,但它提出的问题远比解决的问题更多:谁来定义“灾难性紧急情况”?紧急干预的授权标准如何链上化?跨链基础设施的信任假设如何在安全性与去中心化之间找到更优解?这些问题的答案,将在未来很长一段时间内影响 DeFi 生态的演进方向。
常见问题(FAQ)
Arbitrum 安全委员会是如何在不影响其他用户的情况下精确冻结资金的?
安全委员会采用了一种针对特定地址的系统级技术方案,通过 ArbOS 注入执行 ArbitrumUnsignedTxType 交易,直接将攻击者地址中的 30,766 枚 ETH 转移至中间冻结钱包。该操作不修改任何历史区块,也不影响其他用户地址的余额或合约的正常运作,其精度体现在仅针对特定地址进行状态修改。
被冻结的 30,766 枚 ETH 后续将如何处置?
目前这批资金存放于仅由 Arbitrum 治理机构控制的中继钱包中。任何后续的资金转移都需要通过 Arbitrum 治理程序并与相关方协调后方可执行。具体的资金返还方案尚未公布,预计将依据执法调查进展和法律程序确定。
此次冻结行动对 KelpDAO 安全事件的整体处理有何影响?
此次行动成功回收了约 7,100 万美元的被盗资金,占总损失金额的近四分之一,有效限制了攻击者对这部分资金的控制能力。然而,KelpDAO 事件的完整处理——包括 Aave 约 1.96 亿美元的坏账处置、KelpDAO 与 LayerZero 之间的责任划分,以及跨协议的损失赔偿方案——仍在持续推进之中。
